Як налаштувати інтернет-центри серії Keenetic для об'єднання двох віддалених локальних мереж, використовуючи компонент прошивки Сервер PPTP?
Така можливість з'явилася в інтернет-центрах серії Keenetic починаючи з версії прошивки NDMS V2.04. На момент публікації, для моделей Keenetic Giga II, Keenetic Ultra, Keenetic VOX, Keenetic DSL і Keentic II доступний компонент прошивки Сервер PPTP, що забезпечує роботу налаштування для двостороннього обміну даними між користувачами локальних мереж інтернет-центрів через захищений PPTP-тунель через мережу Інтернет (або наприклад внутрішньої мережі провайдера). Інформацію про встановлення компонента прошивки Сервер PPTP можна знайти в статті: «Реалізація сервера PPTP»
Нижче розглянемо приклад об'єднання двох локальних мереж за допомогою інтернет-центрів серії Keenetic через вбудований додаток Сервер VPN (компонент Сервер PPTP).
Припустимо, що інтернет-центр Keenetic # 1 (на ньому встановлений компонент прошивки Сервер PPTP) підключений до мережі Інтернет через провайдера ПД # 1, котрий надав "білу" публічну статичну IPv4-адресу (якщо публічна IP-адреса видається динамічно, потрібно налаштувати функцію динамічного DNS – DyDNS). На цьому пристрої встановлено компонент Сервер PPTP.
Припустимо, що інтернет-центр Keenetic # 1 (на ньому встановлений компонент прошивки Сервер PPTP) підключений до мережі Інтернет через провайдера ПД # 1, котрий надав "білу" публічну статичну IPv4-адресу (якщо публічна IP-адреса видається динамічно, потрібно налаштувати функцію динамічного DNS – DyDNS). На цьому пристрої встановлено компонент Сервер PPTP.
Інтернет-центр Keenetic # 2 має вихід в Інтернет за допомогою технології провайдера ПД # 2.
Наша схема передбачає, що провайдер ПД # 2 надав "сіру" IP-адресу, однак для реалізації нашого завдання це не має значення (крім того, що встановити Сервер VPN на підключенні з «сірою» IP-адресою не вийде, тому що будуть неможливі вхідні з'єднання). Точніше кажучи, для коректної роботи по нашій схемі потрібно, щоб були дозволені вхідні підключення по порту TCP / 1723 та протоколу GRE на публічну IP-адресу (або доменне ім'я) інтернет-центру Keenetic # 1 в Інтернеті.
Нехай дві локальні домашні мережі ДС # 1 і ДС # 2 виходять в Інтернет за допомогою Keenetic # 1 і Keenetic # 2 відповідно. До VPN-серверу на Keenetic # 1 інтернет-центр Keenetic # 2 автоматично встановлює підключення (в якості клієнта PPTP), що дозволяє користувачам в його домашній мережі (Користувач # 2) отримувати доступ як безпосередньо на Keenetic # 1 (для підключення до USB- накопичувачів і принтерів), так і до ресурсів, розташованим в його домашній мережі, - комп'ютерів, домашнім серверам NAS і ін. При виконанні наведених нижче рекомендацій аналогічна можливість доступу забезпечується і в зворотному напрямку, тобто в домашню мережу Keenetic # 2 з локальної домашньої мережі Keenetic # 1. Наприклад, Користувачеві # 1 можливо буде переглянути відеофайл, розташований в папці загального доступу на ПК # 2.
Наша схема передбачає, що провайдер ПД # 2 надав "сіру" IP-адресу, однак для реалізації нашого завдання це не має значення (крім того, що встановити Сервер VPN на підключенні з «сірою» IP-адресою не вийде, тому що будуть неможливі вхідні з'єднання). Точніше кажучи, для коректної роботи по нашій схемі потрібно, щоб були дозволені вхідні підключення по порту TCP / 1723 та протоколу GRE на публічну IP-адресу (або доменне ім'я) інтернет-центру Keenetic # 1 в Інтернеті.
Нехай дві локальні домашні мережі ДС # 1 і ДС # 2 виходять в Інтернет за допомогою Keenetic # 1 і Keenetic # 2 відповідно. До VPN-серверу на Keenetic # 1 інтернет-центр Keenetic # 2 автоматично встановлює підключення (в якості клієнта PPTP), що дозволяє користувачам в його домашній мережі (Користувач # 2) отримувати доступ як безпосередньо на Keenetic # 1 (для підключення до USB- накопичувачів і принтерів), так і до ресурсів, розташованим в його домашній мережі, - комп'ютерів, домашнім серверам NAS і ін. При виконанні наведених нижче рекомендацій аналогічна можливість доступу забезпечується і в зворотному напрямку, тобто в домашню мережу Keenetic # 2 з локальної домашньої мережі Keenetic # 1. Наприклад, Користувачеві # 1 можливо буде переглянути відеофайл, розташований в папці загального доступу на ПК # 2.
Основні кроки по увімкненню та налаштуванню додатку Сервер VPN наведені в статті: «Реалізація сервера PPTP»
Встановіть на інтернет-центрі Keenetic#1 компонент-додаток Сервер PPTP. Налаштування інтернет-центрів в нашому прикладі ми будемо проводити через веб-конфігуратор.
Налаштування Keenetic#1
В меню Система > Користувачі встановіть для користувача, віж імені якого буде виконуватись PPTP-підключення до серверу, права доступу – vpn.
При роботі пристрою в чинній схемі не слід встановлювати від імені цього ж користувача підключення з інших розташувань (тобто обліковий запис з ім'ям net_2 буде використовуватися виключно для PPTP-підключень).
Потім в меню Додатки > Сервер VPN увівкніть прив'язку сервера до інтерфейсу Домашня мережа. Початкова IP-адресу пулу слід вибрати такою, щоб не виникало перекриття з діапазонами IP-адрес домашніх мереж ДС # 1 і ДС # 2. Рекомендується залишити в цьому полі значення за замовчуванням 172.16.1.33, а для клієнтського пристрою, який бере участь в схемі, вказати в списку користувачів статичну IP-адресу з цієї ж підмережі.
У нашому прикладі користувач net_2 буде при підключенні до VPN-сервера отримувати IP-адресу 172.16.1.2. Для налаштування потрібно клацнути мишкою по потрібному обліковому запису і в полі IP-адреса вказати адресу.
Для того щоб клієнтам ДС # 1 були доступні ресурси домашньої мережі ДС # 2, в меню Інтернет> Маршрути потрібно створити статичний маршрут, із зазначенням розташування мережі ДС # 2. У нашому прикладі локальна мережа 192.168.2.0/255.255.255.0 стане доступна через IP-адресу, видану сервером клієнту, що підключився (в нашому випадку це клієнт c ім'ям net_2 і з IP-адресою 172.16.1.2). Під час налаштування маршруту слід вказати параметр Додавати автоматично і вибрати в полі Інтерфейс значення Будь-який.
Налаштування Keenetic#2
На цьому пристрої буде потрібно виконати два основних налаштування.
1.Мережі, що об'єднуються, мають різні адресні простори - 192.168.1.0/24 і 192.168.2.0/24 (маска 255.255.255.0) - домашня мережа сервера (# 1) та клієнта (# 2) відповідно, оскільки в локальній мережі клієнта потрібно використовувати адресацію, відмінну від мережі сервера. Налаштувати параметри локальної адреси пристрою можна в меню Домашняя мережа > Параметры IP. Детальніше виконання чинного налаштування описано в примітці до статті «Як можна визначити, в якому режимі працює ADSL-модем (в режимі моста або маршрутизатора)?».
1.Мережі, що об'єднуються, мають різні адресні простори - 192.168.1.0/24 і 192.168.2.0/24 (маска 255.255.255.0) - домашня мережа сервера (# 1) та клієнта (# 2) відповідно, оскільки в локальній мережі клієнта потрібно використовувати адресацію, відмінну від мережі сервера. Налаштувати параметри локальної адреси пристрою можна в меню Домашняя мережа > Параметры IP. Детальніше виконання чинного налаштування описано в примітці до статті «Як можна визначити, в якому режимі працює ADSL-модем (в режимі моста або маршрутизатора)?».
2. Інтернет-центр Keenetic # 2 буде працювати в якості PPTP-клієнта. Необхідне PPTP-підключення до VPN-сервера потрібно створювати в меню Інтернет > PPPoE/VPN.
Під час налаштування з'єднання не потрібно встановлювати прапорець Використовувати для виходу в Інтернет, тоді клієнт отримає інформацію про локальну домашню мережу ДС # 1, розташовану за сервером, автоматично. Це позбавляє від необхідності налаштовувати статичну маршрутизацію. Вкажемо в полі Тип (протокол) значення PPTP, а в полі Підключатись через можна залишити значення за замовчуванням. В полі Адреса сервера потрібно буде вказати публічну IP-адресу інтернет-центру Keenetic # 1, який використовується для підключення до ПД # 1. Якщо ця IP-адреса призначається динамічно, скористаємося функцією DyDNS для доступу по доменному імені замість IP-адреси (в нашому прикладі використовується доменне ім'я yourIPpd1.net).
Важливо! За замовчуванням при налаштуванні Сервера VPN (на Keenetic # 1) увімкнене шифрування даних. В мережі Інтернет не рекомендується передавати дані відкритим способом. При чинному налаштуванні PPTP-тунель захищає мережеві дані за допомогою шифрування MPPE 128. Це надійний метод захисту від несанкціонованого доступу, проте в деяких випадках може знадобитися відключити шифрування. Для цього достатньо буде встановити в налаштуваннях Сервера VPN прапорець Дозволити підключення без шифрування (на Keenetic # 1) і прибрати прапорець Шифрування даних при налаштуванні з'єднання на Keenetic # 2. При цьому можливий незначний приріст в швидкості обміну даними, і залежить це від багатьох факторів. Не слід відключати при налаштуванні клієнта використання CCP, так як цей алгоритм використовується в реалізації сервера для стиснення в службових заголовках і супутніх даних.
Увага! Оскільки на інтерфейсі PPTP-клієнта Keenetic # 2 за замовчуванням увімкнений міжмережевий екран, який блокує всі вхідні з'єднання до домашньої мережі # 2 (в напрямку помаранчевих стрілок, показаних на першій ілюстрації), в ньому потрібно відкрити потрібні для роботи порти / протоколи.
У меню Безпека> Міжмережевий екран створіть відповідні правила для вхідних підключень по будь-яким протоколам (як правило, досить буде відкрити доступ по протоколах tcp / icmp / udp).
У меню Безпека> Міжмережевий екран створіть відповідні правила для вхідних підключень по будь-яким протоколам (як правило, досить буде відкрити доступ по протоколах tcp / icmp / udp).
Важливо! Якщо Ви налаштували VPN-тунель IPSec і він був успішно встановлений, але пінг проходить тільки до віддаленого роутера і не проходить на хости віддаленої мережі, то найімовірніше на самих хостах блокує трафік Брандмауер Windows (Брандмауер, Firewall). Додаткову інформацію можна знайти в статті «Налаштування брендмауера Windows для підключень з межрежі по-за VPN-сервером Keenetic»
Примітка
Питяння-відповіді
Я все зробив (а) в точності за цією статтею, але не можу отримати доступ до комп'ютера в віддаленої мережі за VPN. З чим це може бути пов'язано?
- Брандмауер (або міжмережевий екран) Windows. Якщо Ви намагаєтеся виконати ping комп'ютера за його IP-адресою, переконайтеся, що на комп'ютері не блокуються вхідні підключення (за замовчуванням Брандмауер Windows блокує icmp-запити). Спробуйте повторити ping, відключивши блокування.
- Версія прошивки інтернет-центру. Переконайтеся, що пристрої Keenetic # 1 і # 2 використовують останні доступні оновлення компонентів прошивки.
- Загальні ресурси в мережі Windows. Якщо Ви відкриваєте теку з загальним доступом, наприклад за адресою "\\ 192.168.2.2 \ pc2_share", перевірте, що призначені відповідні права доступу до теки і вказані правила підключення до загальних ресурсів в ОС Windows. У разі якщо для доступу до ресурсу потрібно авторизуватися на віддаленому комп'ютері, на ньому слід перевірити права доступу для користувача, з ім'ям якого виконується авторизація.
До чинної статті приєднаний pdf-документ про налаштування брандмауера в ОС Windows, коли потрібно підключитися до комп'ютера через VPN-тунель між інтернет-центрами серії Keenetic. Документ Windows-Firewall-Settings.pdf знаходиться в підрозділі Приєднані файли в кінці статті.
У зазначеній в чинній статті схемі локальні мережі двох роутерів об'єднані через Інтернет по захищеному тунелю. Які обмеження в роботі мережі передбачає таке рішення?
- Швидкість обміну даними. Додаткове навантаження на пристрій, пов'язана з маршрутизацією, обробкою і шифруванням даних, може викликати обмеження швидкості передачі даних в порівнянні з наданої провайдерами пропускною спроможністю каналу. За результатами нашого тестування в лабораторії максимальну межа швидкості в PPTP-тунелі склала 35 Мбіт / c.
- Не підтримується робота автоматичного визначення комп'ютерів в приєднаній мережі (такі функції як Оглядач комп'ютерів в Windows). Автоматичне визначення комп'ютерів і пристроїв у мережі Microsoft Windows в даній реалізації не буде працювати, оскільки об'єднання мереж відбувається на третьому рівні моделі OSI, із задіянням NAT (трансляції мережевих адрес) і маршрутизації. Обмеження, накладені цими факторами, перешкоджають роботі служби Computer Browser (Оглядач комп'ютерів), тому, що останні використовують немаршрутизовувані типи передачі даних, розраховані на однорангові мережі. Також в зв'язку з цим не буде працювати доступ до пристроїв в іншій мережі по їх мережевих іменах.
А які переваги зазначеного в статті метода перед відкриттям портів в міжмережевому екрані?
- Найбільш істотна відмінність - в здійсненні можливості доступу до підключеної мережі, незалежно від публічної IP-адреси.
- Шифрування даних. Перехоплення переданих даних в мережі Інтернет не дозволить визначити вміст в межах стійкості шифрування MPPE 128.
- Захищене підключення. Доступ до відкритого порту можливий тільки при автентифікації з ім'ям користувача і паролем.
- Використання локальних адрес віддаленої мережі. Автоматичне встановлення тунельного підключення між роутерами означає прозорий доступ між мережами без необхідності додаткових налаштувань і створення підключень на комп'ютерах. Ярлики і посилання на ресурси локальних пристроїв і самих інтернет-центрів працюватимуть завжди при підключенні до однієї з об'єднаних мереж, тому що кожен пристрій в них має унікальну адресу.
Мені потрібно об'єднати кілька домашніх мереж (більше двох), щоб мати доступ з кожної мережі в будь-яку іншу. Чи це можливо?
- Так, оскільки до VPN-сервера на одному інтернет-центрі можна підключити до 10 віддалених мереж, загальна кількість об'єднаних локальних мереж дорівнює 11. Деталі Ви зможете знайти в статті: «Чи можливо за допомогою інтернет-центрів об'єднувати більше двох домашніх мереж, використовуючи компонент прошивки Сервер PPTP?»
Чи може працювати SIP-телефонія через створений VPN-тунель PPTP?
- Так, як і інші технології передачі даних, SIP-телефонія може працювати через встановлений VPN-тунель.
Як налаштувати маршрутизацію на інтернет-центрі для доступу в VPN-тунель PPTP без NAT?
- Информацію можна знайти в статті: «Як налаштувати інтернет-центр для організації доступу в Інтернет з увімкненим NAT, а в корпоративну мережу доступ без NAT (з IP-адресами зі своєї локальної мережі)?»
KB-4214